Мобильное автоматизированное рабочее место сбора информации для проведения компьютерных экспертиз

 

Мобильное автоматизированное рабочее место сбора информации для проведения компьютерных экспертиз, состоящее из портативной персональной электронно-вычислительной машины, выполняющей роль Блока обработки, Модуля записи RAID, двух накопителей на жестких магнитных дисках (НЖМД), Индикаторной панели, Блока управления и Принтера этикеток, обеспечивает подключение дублируемого НЖМД и копирование одновременно на два НЖМД, образующих RAID-массив, параллельно процессу копирования вычисляется хэш-функция, после завершения дублирования автоматически распечатывается две этикетки с вычисленным значением хэш-функции, которыми маркируются НЖМД с копиями информации.

Предлагаемое устройство относится к области криминалистики и судебной экспертизы, а именно, к использованию электронных средств для повышения оперативности и объективности проведения экспертиз и экспертных исследований информационных носителей за счет автоматизации ряда операций.

Предложенное устройство позволяет с высокой надежностью оперативно создавать информационную копию электронного носителя информации (ЭНИ), при этом количественные и качественные характеристики ЭНИ не изменяются, что имеет решающее значение для обеспечения законной силы результатов процедуры судебной экспертизы.

Одним из родов судебной экспертизы является компьютерная экспертиза (КЭ). На данном этапе развития КЭ - самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз и проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его следовой картины в расследуемом преступлении, а также получения доступа к компьютерной информации на информационных носителях с последующим всесторонним ее исследованием. Указанные цели представляются родовыми задачами КЭ [1]. При этом в качестве информационных носителей при данном виде экспертиз выступают электронные носители информации (ЭНИ).

Процесс собирания доказательств по преступлениям, сопряженным с использованием компьютерных средств, включает в себя, прежде всего, обнаружение, фиксацию и изъятие компьютерной информации. Тактика следственных действий по раскрытию и расследованию преступлений в обсуждаемом случае неразрывно и напрямую зависит от используемых специальных средств и инструментов. Эти технические средства должны быть предназначены для поиска и предварительного исследования ЭНИ, которые впоследствии могут приобрести статус вещественных доказательств. Приборы, аппаратуру, оборудование, инструменты, принадлежности, применяемые для собирания и исследования доказательств в процессе судопроизводства, принято обозначать как «криминалистическая техника».

Первичную основу рассматриваемого класса криминалистической техники составляют аппаратно-программные средства, приемы и методы, заимствованные из таких областей науки и техники как: вычислительная техника и программирование, радиотехника и электроника, вычислительные сети и телекоммуникации, криптография и защита информации.

Постепенно криминалистическая техника пополняется средствами, приемами и методами, специально разработанными для целей исследования и раскрытия преступлений в сфере компьютерной информации.

На сегодняшний момент типовым технико-криминалистическим оснащением собирания компьютерной информации являются следующие средства [2]:

- персональный портативный компьютер (ПК), с достаточным быстродействием и объемом оперативной памяти, обладающий возможностями предварительного полного физического копирования исследуемых носителей данных (в т.ч. жестких дисков) на рабочий винчестер соответствующей емкости (часто в съемном варианте);

- установленные на указанном ПК операционная система Windows 98 (2000) с набором системных и прикладных утилит (например, Norton SystemWork); файловые диспетчеры (в т.ч. с поддержкой MS DOS-сессий), расширенное прикладное программное обеспечение (MS Office, графические пакеты (PhotoShop, Corel-Draw) и пр.;

- комплект пустых CD и/или CD-R;

- устройство CD-RW для записи на компакт-диски;

- необходимые кабели сопряжения (в т.ч. нуль-модемный кабель);

- набор CD и дискет (загрузочных и с сервисными утилитами) для определения конфигурации исследуемого персонального компьютера, его характеристик;

- набор CD и дискет с программами вирусной диагностики;

- упаковочный материал: жесткие коробки для упаковки изымаемых системных блоков и носителей данных; антистатические пакеты для носителей данных, полиэтиленовые пакеты и холщовые мешки; бумага для опечатывания разъемов, клей, липкая лента;

- вспомогательный инструменты - электронный тестер, отвертки, плоскогубцы и пр. (например, для отключения разъемов, вскрытия кожухов системных блоков, изъятия жестких дисков).

Средства исследования информации, хранящейся в электронной форме, должны обеспечивать [3]:

- техническую возможность доступа к информации содержащейся в объекте исследования (жесткие диски компьютеров, гибкие магнитные диски, магнитооптические диски, кассеты стриммеров, оптические диски, флеш-память и другие средства хранения информации);

- фиксацию информации, не разрушая и не изменяя объекта исследования (например, на жестких дисках лабораторных компьютеров, записываемых оптических дисках);

- преобразование информации в форму, доступную для восприятия экспертом (программное обеспечение для поиска и визуализации информации).

Эти задачи решаются совместно техническими и программными средствами обеспечения исследований.

Таким образом, можно сделать вывод о том, что методика решения любой задачи при компьютерной экспертизе, должна уточняться при появлении нового поколения аппаратного обеспечения или новых версий программного обеспечения [4, 5].

Благодаря наличию высококлассных специалистов в ряде ведущих экспертных организаций отрабатываются технологии проведения практических работ по проведению криминалистических экспертиз ЭНИ. Для этого проводится целый комплекс специфических нетиповых работ, разрабатывается и осваивается соответствующий инструментарий.

Результатом соответствующих работ являются АРМ (программные или программно-аппаратные комплексы) для всех конкретных видов работ.

Методические наработки и средства автоматизации, аккумулирующие в себе знания и опыт уникальных высококлассных специалистов, позволяют повышать уровень решения вопросов КЭ малыми силами на местах, путем поручения этих задач малочисленным группам или отдельным штатным экспертам.

Одним из таких АРМ является система ПРОПЛАН.

Автоматизированное рабочее место ПРОПЛАН для проведения компьютерной экспертизы представляет собой специализированный программно-технический комплекс, обеспечивающий автоматизацию деятельности эксперта и его рабочего места при КЭ.

Техническая часть комплекса представляет собой:

- стенд для исследования информационных носителей,

- ПЭВМ для обработки данных исследования и подготовки экспертного заключения.

Программная часть комплекса состоит из набора общего и специального программного обеспечения (ОМО и СМО).

В качестве СМО используется «ПРОфессиональная система для решения Поисковых задач и Логического АНализа машинных носителей информации» («ПРОПЛАН»).

Основным недостатком указанного АРМ является невозможность подключения ЭНИ новых типов, появившихся после его создания и невозможность его модернизации для устранения указанного недостатка в силу ограниченности числа кодов системных прерываний, соответствующих максимальному числу подключаемых внешних устройств.

Указанный недостаток устранен в АРМ для проведения криминалистических экспертиз ЭНИ [6].

АРМ для проведения криминалистических экспертиз ЭНИ состоит из стенда для исследования ЭНИ и ПЭВМ для обработки данных исследования и подготовки экспертного заключения. Стенд для исследования ЭНИ состоит из управляемого коммутационного устройства, обеспечивающего возможность сопряжения электронного носителя информации и ПЭВМ по информационным шинам и шинам управления, и источника регулируемого напряжения, при этом управляемое коммутационное устройство имеет m+n входов/выходов и представляет собой набор из m·n управляемых вентилей, образующих коммутационную матрицу размерности m×n, соединяющую 1÷m и (m+1)÷(m+n) входы/выходы таким образом, что каждый i-ый вход/выход (i{1, m}) соединен с j-ым входом/выходом (j{m+1, m+n}) посредством управляемого ij-го вентиля, при этом m=k+1, числа k и n соответствуют максимальным значениям чисел контактов разъемов ПЭВМ и электронного носителя информации соответственно; в свою очередь управляемый вентиль состоит из двух управляемых усилителей (УУ), а также двух неуправляемых вентилей (НУВ), причем выходы управляемых усилителей подключены ко входам неуправляемых вентилей, а выходы неуправляемых вентилей соединены со входами управляемых усилителей таким образом, что образуется замкнутое кольцо из четырех элементов; точки соединения входов управляемых усилителей и выходов неуправляемых вентилей служат входами/выходами управляемых вентилей; выход источника регулируемого напряжения подключается к m-му входу управляемого коммутационного устройства, 1÷k входы/выходы управляемого коммутационного устройства подключаются к контактам разъема ПЭВМ, (m+1)÷(m+n) входы/выходы управляемого коммутационного устройства подключаются к контактам разъема электронного носителя информации.

Данное АРМ выбрано в качестве прототипа.

Универсальность является основным достоинством данного АРМ. Вместе с тем, объектом подавляющего большинства компьютерных экспертиз электронных носителей информации являются накопители на жестких магнитных дисках (НЖМД). Использование АРМ для компьютерной экспертизы НЖМД предполагает:

- изъятие последнего в соответствии с установленным порядком процессуальных действий;

- дублирование данного НЖМД на НЖМД Автоматизированного рабочего места;

- хранение изъятого НЖМД до завершения судебного процесса в качестве вещественного доказательства.

Такой порядок использования определил облик АРМ для проведения криминалистических экспертиз ЭНИ и особенности его реализации, одной из которых является его стационарность. Данный недостаток создает значительные неудобства при его использовании на выездных мероприятиях в силу громоздкости составных частей АРМ (системный блок ПЭВМ, клавиатура, манипулятор, монитор, блок питания, стенд для исследования ЭНИ), а также необходимости раскоммутации составных частей для транспортировки и последующей сборки АРМ для выполнения процедур экспертизы.

Необходимость хранения изъятого НЖМД до завершения судебного процесса в качестве вещественного доказательства обусловлена необходимостью иметь эталон информации, подвергаемой экспертизе, что имеет значение для обеспечения законной силы результатов процедуры судебной экспертизы. Практика показывает, что в ряде случаев изъятие НЖМД приводит к остановке коммерческой деятельности предприятия, и в результате обращений терпящих убытки в суд принимаются судебные решения о возвращении изъятого НЖМД владельцу, что в большинстве случаев сводит выполненный экспертом объем работы к нулю.

Таким образом, перед заявляемым устройством ставится комплексная цель: обеспечить оперативное создание информационной копии НЖМД без его изъятия (на месте) с возможностью подтверждения целостности информации, поступающей на экспертизу.

Сущность изобретения состоит в том, дублируемый НЖМД с помощью заявляемого устройства копируется одновременно на два НЖМД, образующих RAID-массив, параллельно процессу копирования выполняется процесс вычисления хэш-функции, после завершения процесса дублирования автоматически распечатывается две этикетки с вычисленным значением хэш-функции, которые наклеиваются на НЖМД с копиями информации, хранящейся на дублируемом НЖМД, и значение хэш-функции заносится в протокол.

Перечень фигур:

Фиг.1 - Схема Мобильного автоматизированного рабочего места сбора информации для проведения компьютерных экспертиз. Показаны основные элементы устройства и связи между ними.

Фиг.2 - Экспериментальный образец Мобильного автоматизированного рабочего места сбора информации для проведения компьютерных экспертиз. Показаны внешний вид и вариант компоновки основных элементов устройства.

Поставленная цель достигается тем, что Мобильное автоматизированное рабочее место сбора информации для проведения компьютерных экспертиз состоит из:

- Блока обработки 1;

- Модуля записи RAID 2;

- Сменных НЖМД 3 и 4 соответственно;

- Индикаторной панели 5;

- Блока управления 6;

- Принтера этикеток 7 (см. фиг.1).

Блок обработки 1 представляет собой материнскую плату с процессором и оперативной памятью, системой ввода/вывода, имеющей: видеовыход для подключения Индикаторной панели 5, вход управления для подключения Блока управления 6, принтерный выход для подключения Принтера этикеток 7, вход данных для подключения НЖМД и выход данных для подключения Модуля записи RAID 2, и обеспечивает, за счет выполнения программного кода соответствующего назначения, считывание информации с дублируемого НЖМД, вычисление хэш-функции и запись информации средствами Модуля записи RAID 2 параллельно на НЖМД 3 и 4.

Модуля записи RAID 2 представляет собой аппаратный модуль параллельной записи информации на два НЖМД, предназначен для применения по прямому назначению.

НЖМД 3 и 4 представляют собой одинаковые по модели накопители на жестких магнитных дисках. Предназначены для записи и хранения копии информации, хранящейся на дублируемом НЖМД.

Индикаторная панель 5 представляет собой малогабаритный жидкокристаллический экран, предназначенный для отображения хода и результата выполнения операций.

Блок управления 6 представляет собой кнопочную клавиатуру и предназначен для управления режимами работы Автоматизированного рабочего места.

Принтер этикеток 7 представляет собой малогабаритное печатающее устройство, предназначенное для изготовления наклеиваемых этикеток с нанесением на них вычисленного в ходе дублирования значения хэш-функции.

Условия малогабаритности обусловлены требованием к мобильности Автоматизированного рабочего места.

Информационный выход Блока обработки 1 подключен ко входу Модуля записи RAID 2, к выходу которого параллельно подключены входы НЖМД 3 и НЖМД 4. Видеовыход Блока обработки 1 подключен ко входу Индикаторной панели 5. Управляющий вход Блока обработки 1 соединен с выходом Блока управления 6. Принтерный выход Блока обработки 1 подключен ко входу Принтера этикеток 7.

Принцип действия Мобильного автоматизированного рабочего места сбора информации для проведения компьютерных экспертиз состоит в следующем. Ко входу данных Блока обработки 1 подключается дублируемый НЖМД. К выходу Модуля записи RAID 2 подключаются два НЖМД 3 и 4 с объемом не менее, чем объем дублируемого НЖМД. С помощью кнопок Блока управления 6 осуществляется настройка и запуск программы, хранящейся в памяти Блока обработки 1, при выполнении которой Блок обработки 1 считывает данные с дублируемого НЖМД, вычисляет значение хэш-функции и передает данные на вход Модуля записи RAID 3, который обеспечивает запись этих данных параллельно на два НЖМД 3 и 4.

Во время выполнения процедуры дублирования параметры хода процесса дублирования и его результаты отображаются на экране Индикаторной панели 5. К отображаемым параметрам процесса дублирования относятся: время начала, скорость записи, процент выполнения и расчетное время завершения. Процесс дублирования может быть завершен нормально или аварийно, что отразится на экране Индикаторной панели 5.

После завершения дублирования Блок обработки 1 выдает вычисленное значение хэш-функции на принтерный выход, и подключенный к этому выходу Принтер этикеток 7 автоматически распечатывает две этикетки, на которых содержится вычисленное значение хэш-функции. Этикетки наклеиваются на НЖМД 3 и НЖМД 4, о чем выполняется соответствующая запись в протоколе с указанием вычисленного значения хэш-функции. Далее НЖМД 3 и 4 направляются в сопровождении протокола в экспертное учреждения, где один из них будет храниться как вещественное доказательство в качестве эталона, а второй будет исследоваться экспертом.

Экспериментальный образец Мобильного автоматизированного рабочего места сбора информации для проведения компьютерных экспертиз представлен на Фиг.2. Блок обработки 1 выполнен на базе промышленного компьютера с операционной системой Linux. Мобильность АРМ обеспечивается размещением всех элементов заявляемого устройства в металлическом кейсе, материал и форма которого обеспечивают теплоотвод.

АРМ предназначен для использования в качестве оборудования эксперта-криминалиста при проведении оперативных мероприятий и при работе на месте происшествия.

Данный АРМ также пригоден и удобен для применения в рамках копирования компьютерной информации, выполняемой представителями Федеральной антимонопольной службы, не имеющими права изымать носители информации, но которым, в соответствии с современным законодательством, все лица, занимающиеся коммерческой деятельностью на территории Российской Федерации, обязаны предоставлять доступ ко всей служебной информации, в том числе хранящейся на компьютерных носителях.

Таким образом, цель изобретения достигнута.

СПИСОК ЛИТЕРАТУРЫ

1 Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. - М.: ГУ ЭКЦ МВД России, 2000. - 65 с., 6 ил., библиограф., прил.

2 Шелудченко В.И. Технико-криминалистические средства и методы собирания компьютерной информации // Материалы Всероссийского межведомственного семинара. - Белгород: МВД РФ, 2002. - С.205-207.

3 Копытин А.В., Маршалко Б.Г., Федотов Е.Т. Судебная экспертиза ПЭВМ // Материалы Всероссийского межведомственного семинара. - Казань: МВД Республики Татарстан, 2004. - C.115

4 Айков Д., Сейгер К., Фопсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями. Пер. с англ. В.И.Воропаева и Г.Г.Трехалина. - М.: Мир, 1999.

5 Семенов Н.В., Мотуз О.В. Судебно-кибернетическая экспертиза - инструмент борьбы с преступностью XXI века // Защита информации, конфидент, 1999, 1-2.

6 Автоматизированное рабочее место для проведения криминалистических экспертиз электронных носителей информации. Патент на изобретение РФ 2297664 от 20.04.2007.

Мобильное автоматизированное рабочее место сбора информации для проведения компьютерных экспертиз, состоящее из Блока обработки 1, Модуля записи RAID 2, двух накопителей на жестких магнитных дисках (НЖМД) 3 и 4 и Принтера этикеток 7, отличающееся тем, что в состав дополнительно включены Индикаторная панель 5 и Блок управления 6, при этом информационный выход Блока обработки 1 подключен ко входу Модуля записи RAID 2, к выходу которого параллельно подключены входы НЖМД 3 и НЖМД 4, видеовыход Блока обработки 1 подключен ко входу Индикаторной панели 5, управляющий вход Блока обработки 1 соединен с выходом Блока управления 6, принтерный выход Блока обработки 1 подключен ко входу Принтера этикеток 7.



 

Похожие патенты:

Лототрон // 107627
Наверх